General Data Protection Regulation – GDPR : Ας ξεκινήσουμε με τα βασικά

Όπως ίσως θα έχουν παρατηρήσει κυρίως οι επαγγελματίες του διαδικτύου (αν μου επιτρέπεται ο συγκεκριμένος όρος), τον τελευταίο καιρό έχει προκύψει ιδιαίτερος «θόρυβος» γύρω από τα ζητήματα της ασφάλειας των προσωπικών δεδομένων. Αν και πρόκειται για ένα σπουδαίο ζήτημα έτσι κι αλλιώς, ωστόσο ο όλος ντόρος δυστυχώς δεν γίνεται επειδή όλοι μας ξαφνικά αποκτήσαμε ευαισθησία στο θέμα. Αντιθέτως, είναι μια πρωτοβουλία της Ευρωπαϊκής Ένωσης που… «κυκλοφορεί» από το 1997 στην ευρωπαϊκή μας γειτονιά σαν γενική οδηγία. Πήρε τελική μορφή το 2016 και γίνεται πλέον νόμος όλης της Ευρωπαϊκής Ένωσης από τις 25 Μαΐου του 2018. Αναφέρομαι φυσικά στον περίφημο Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation – GDPR).

Σε μια σειρά σύντομων και όσο το δυνατό πιο κατανοητών άρθρων θα προσπαθήσουμε να δώσουμε μερικές χρήσιμες πληροφορίες σχετικά.

Το πρώτο ερώτημα, λοιπόν, που προκύπτει (και το πιο κρίσιμο στην παρούσα φάση, κατά τη γνώμη μου) είναι το εξής: Είμαστε έτοιμοι για τον GDPR; Ή μάλλον, για να το θέσουμε αλλιώς, πόσες εταιρίες είναι κατάλληλα προετοιμασμένες μετά από δύο χρόνια και μπορούν να θεωρηθούν “GDPR compliant” (έκφραση-ιερό δισκοπότηρο, τους τελευταίους μήνες); Δύσκολο να πει κανείς πόσοι έχουν ήδη «συμμορφωθεί», αφού δύσκολο είναι καταρχάς να ορίσεις τι σημαίνει «συμμόρφωση» με τον GDPR.

Οπότε, επειδή πιθανώς οι περισσότεροι δεν έχουν καν ξεκινήσει οποιαδήποτε διαδικασία συμμόρφωσης (πόσο μάλλον να προλάβουν τη συμμόρφωση έως την 25η Μαρτίου), ας πάρουμε τα πράγματα από την αρχή. Αργά αλλά σταθερά, ας χτίσουμε μια γερή βάση για την προστασία των προσωπικών δεδομένων.

  1. Υπάγομαι/υπάγεται η εταιρία μου στο πλαίσιο του νέου κανονισμού General Data Protection Regulation – GDPR;

Η απάντηση είναι σχετικά απλή, αρχικά, αλλά αρχίζει να θολώνει όταν προχωρήσουμε βαθύτερα. Ο κανονισμός αφορά σε:

  • όλους εκείνους τους οργανισμούς που πραγματοποιούν επεξεργασία δεδομένων σε τακτική βάση και σε μεγάλη κλίμακα. (Επεξεργασία σημαίνει συλλογή, αποθήκευση, επεξεργασία για εξαγωγή συμπερασμάτων, μεταφορά και πολλά άλλα πράγματα).
  • όλες τις δημόσιες υπηρεσίες.
  • όλους, όσοι επεξεργάζονται ειδικές κατηγορίες προσωπικών δεδομένων. (τα λεγόμενα και ευαίσθητα προσωπικά δεδομένα)
  • όλους, όσοι επεξεργάζονται δεδομένα που έχουν να κάνουν με ποινικές υποθέσεις, διώξεις, καταδίκες.

Μένει να αποφασίσετε αν ανήκετε σε μία από τις παραπάνω κατηγορίες και αν πραγματοποιείτε επεξεργασία σε τακτική βάση και σε μεγάλη κλίμακα. Τι σημαίνουν αυτά; Δύσκολο να πει κανείς και ο GDPR δεν το ξεκαθαρίζει απολύτως. Άρχισε να θολώνει το τοπίο, σωστά;

  1. Χρειάζομαι DPO (Data Protection Officer);

Θα αναλύσουμε σε άλλο άρθρο το τι ακριβώς (θα) είναι και (θα) κάνει το DPO σύμφωνα με τον General Data Protection Regulation – GDPR. Ας αναφέρουμε αρχικά απλά ότι είναι ο άνθρωπος που θα φροντίσει για τη συμμόρφωση με τον κανονισμό. Το βασικό ερώτημα και πάλι είναι «χρειάζομαι ένα DPO στην εταιρία μου;». Η απάντηση βρίσκεται στην προηγούμενη παράγραφο.

Θα χρειαστείτε DPO αν είστε:

  • Δημόσια υπηρεσία
  • Εταιρία/οργανισμός (controller ή/και processor, που επίσης θα αναλυθούν σε επόμενο άρθρο) που πραγματοποιεί μεγάλης έκτασης επεξεργασία προσωπικών δεδομένων, ή τακτική επεξεργασία αυτών
  • Εταιρία/οργανισμός που πραγματοποιεί επεξεργασία ευαίσθητων δεδομένων ή επεξεργασία δεδομένων σχετικά με ποινικά ζητήματα, καταδίκες, διώξεις.

Σε κάθε περίπτωση, επειδή ακριβώς τα νερά θολώνουν όταν ο νόμος αναφέρεται σε «μεγάλης έκτασης επεξεργασία προσωπικών δεδομένων» ή «τακτική επεξεργασία», υπάρχει ένας εμπειρικός κανόνας σχετικά με το αν θα χρειαστείτε DPO: αν ήδη αναρωτιέστε ή έχετε αμφιβολίες για το αν χρειάζεστε DPO, τότε μάλλον τον χρειάζεστε.

Εμείς εδώ στην WebO2 θα προσπαθήσουμε να σας κρατάμε ενήμερους, όσο μπορούμε…

TOP